2009年10月 5日

[samba-jp:20861] Re:[FYI] Samba 3.4.2,3.3.8,3.2.15,3.0.37が出ました

In message <20091001120538.GA35424@xxxxx>
on Thu, 1 Oct 2009 21:05:39 +0900,
Samba-JP oota <ribbon@xxxxx> wrote:
> セキュリティアップデートです。
> もうメンテやめた、という3.0系列にも出ています。
...
> 3.4.2 http://news.samba.org/releases/3.4.2/
> 3.3.8 http://news.samba.org/releases/3.3.8/

> 3.2.15 http://news.samba.org/releases/3.2.15/
> 3.0.37 http://news.samba.org/releases/3.0.37/
いずれも、

o CVE-2009-2813:
In all versions of Samba later than 3.0.11, connecting to the home
share of a user will use the root of the filesystem
as the home directory if this user is misconfigured to have
an empty home directory in /etc/passwd.

o CVE-2009-2948:
If mount.cifs is installed as a setuid program, a user can pass it a
credential or password path to which he or she does not have access and
then use the --verbose option to view the first line of that file.
All known Samba versions are affected.

o CVE-2009-2906:
Specially crafted SMB requests on authenticated SMB connections can
send smbd into a 100% CPU loop, causing a DoS on the Samba server.

への対応のようですが、CVE-2009-2813以外は参照すべきCVEのエントリが未だ
ないみたいなんですよねぇ...。

--
神戸 隆博 / Takahiro Kambe


投稿者 xml-rpc : 2009年10月 5日 00:11
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/89163
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。